Всем привет.

Я столкнулся с такой ситуацией:
Есть двухшаговая авторизация, похожая на сабж.
Но один нюанс. После ввода в веб-форме логина/пароля сервер присылает authorization response с значениями code и state в виде json.
Читая спецификацию OAuth 2.0 (https://tools.ietf.org/html/rfc6749 пункт 4.1.2) я не понял насколько это нормально, указано про ответ только в виде query-строки.
Вопросов два:
1. Допустимо ли серверу присылать authorization response в виде json, например, если использовать формат application/json?
2. Может быть есть какие-то другие похожие форматы (или черновики расширения спецификации OAuth 2), которые это допускают? Например, похож OpenId Connect, но там я ответа тоже не нашёл.